Azure CLI, yeni bir güvenlik açığı nedeniyle ciddi şekilde risk altında olan en son Microsoft ürünüdür

CVE-2023-36052, genel günlüklerdeki gizli bilgileri açığa çıkarabilir.

Azure CLI'nin (Azure Komut Satırı Arayüzü) hassas bilgilerin ifşa edilmesi konusunda büyük risk altında olduğu bildirildi. Kimlik bilgileri de dahil olmak üzere, birisi platformdaki GitHub Eylemleri günlükleriyle etkileşimde bulunduğunda, buna göre en son blog yazısı Microsoft Güvenlik Yanıt Merkezi'nden.

MSRC, Azure'da değişiklik yapıldığını keşfeden bir araştırmacı tarafından artık CVE-2023-36052 olarak adlandırılan güvenlik açığından haberdar edildi. CLI komutları, Sürekli Entegrasyon ve Sürekli Dağıtıma (CI/CD) hassas verilerin ve çıktıların gösterilmesine yol açabilir kütükler.

Bu, araştırmacıların Microsoft ürünlerinin savunmasız olduğunu keşfettiği ilk sefer değil. Bu yılın başlarında bir araştırmacı ekibi Microsoft'a Teams'in modern kötü amaçlı yazılımlara oldukça yatkınKimlik avı saldırıları da dahil. Microsoft ürünleri çok savunmasız 2022'de Microsoft 365 hesaplarının %80'inin saldırıya uğradığı, yalnız.

CVE-2023-36052 güvenlik açığı tehdidi o kadar büyük bir riskti ki, Microsoft hemen tüm platformlarda harekete geçti ve Azure Pipelines, GitHub Actions ve Azure CLI dahil olmak üzere Azure ürünleri ve bunlara daha iyi direnmek için iyileştirilmiş altyapı ince ayar yapmak.

Microsoft, Prisma'nın raporuna yanıt olarak, daha sağlam gizli redaksiyon uygulamak için Azure Pipelines, GitHub Actions ve Azure CLI dahil olmak üzere farklı ürünlerde çeşitli değişiklikler yaptı. Bu keşif, müşterilerin repo ve CI/CD işlem hatlarına hassas bilgileri kaydetmemelerini sağlamaya yönelik artan ihtiyacın altını çiziyor. Güvenlik riskini en aza indirmek ortak bir sorumluluktur; Microsoft, gizli bilgilerin yayınlanmasını önlemeye yardımcı olmak için Azure CLI'ye yönelik bir güncelleştirme yayınladı ve müşterilerin iş yüklerini güvence altına almak için adımlar atarken proaktif olmaları bekleniyor.

Microsoft

CVE-2023-36052 güvenlik açığı nedeniyle hassas bilgilerin kaybolması riskini önlemek için ne yapabilirsiniz?

Redmond merkezli teknoloji devi, kullanıcıların Azure CLI'yi mümkün olan en kısa sürede en son sürüme (2.54) güncellemesi gerektiğini söylüyor. Microsoft, güncellemeden sonra kullanıcıların şu yönergeye uymasını da istiyor:

1. En son güvenlik güncelleştirmelerini almak için Azure CLI'yi her zaman en son sürüme güncelleştirin.
2. Azure CLI çıktısını günlüklerde ve/veya genel olarak erişilebilen konumlarda açığa çıkarmaktan kaçının. Çıkış değerini gerektiren bir komut dosyası geliştiriyorsanız, komut dosyası için gereken özelliği filtrelediğinizden emin olun. Gözden geçirin Çıkış biçimleriyle ilgili Azure CLI bilgileri ve tavsiyelerimizi uygulayın Bir ortam değişkenini maskelemeye yönelik rehberlik.
3. Anahtarları ve sırları düzenli olarak değiştirin. Genel bir en iyi uygulama olarak müşterilerin, anahtarları ve gizli dizileri, ortamlarına en uygun tempoda düzenli olarak değiştirmeleri teşvik edilir. Azure'daki önemli ve gizli hususlar hakkındaki makalemize bakın Burada.
4. Azure hizmetleri için gizli dizi yönetimine ilişkin kılavuzu inceleyin.
5. GitHub Eylemlerinde güvenliği güçlendirmeye yönelik GitHub en iyi uygulamalarını inceleyin.
6. Aksi takdirde herkese açık olması gerekmediği sürece GitHub depolarının özel olarak ayarlandığından emin olun.
7. Azure Pipelines'ın güvenliğini sağlamaya yönelik kılavuzu inceleyin.

Microsoft, Azure CLI'de CVE-2023-36052 güvenlik açığının keşfedilmesinin ardından bazı değişiklikler yapacak. Şirket, bu değişikliklerden birinin, hassas verileri önleyen yeni bir varsayılan ayarın uygulanması olduğunu söylüyor. Azure'daki hizmetlere yönelik komut çıktılarında gizli olarak etiketlenen bilgiler aile.

Ancak yeni varsayılan ayar eski sürümlere uygulanmayacağından kullanıcıların Azure CLI'nin 2.53.1 ve üzeri sürümüne güncelleme yapması gerekecektir.

Redmond merkezli teknoloji devi, hem GitHub Actions hem de GitHub Actions'daki redaksiyon yeteneklerini de genişletiyor. Azure Pipelines, Microsoft tarafından verilen ve genel kullanıma açık olabilecek anahtarları daha iyi tanımlayıp yakalamak için kütükler.

Azure CLI kullanıyorsanız cihazınızı ve kuruluşunuzu CVE-2023-36052 güvenlik açığına karşı korumak için platformu hemen en son sürüme güncellediğinizden emin olun.